7.3数字证书.pptVIP

电子商务基础2.1 sv.hep.edu.cn sve.hep.edu.cn sv.hep.edu.cn sve.hep.edu.cn 7.3数字证书 7.3数字证书 1.数字证书的用途 ⑴电子签名服务 ⑵电子签章服务 ⑶企业“电子执照”的商务应用与管理 ⑷企业身份认证 2.数字证书的类别 ⑴个人数字证书 ⑵企业数字证书 ⑶设备数字证书 ⑷代码签名数字证书 7.3数字证书 3.数字证书的原理 （1）数字证书采用公钥体制，即利用一对互相 匹配的密钥进行加密、解密。 （2）每个用户自己设定一把特定的、仅为本人 所知的私有密钥（私钥），用它进行解密和签名； 同时设定一把公共密钥（公钥）并由本人公开，为 一组用户所共享，用于加密和验证签名。 （3）当发送一份保密文件时，发送方使用接收方 的公钥对数据加密，而接收方则使用自己的私钥 解密，这样信息就可以安全无误地到达目的地了。 7.3数字证书 4.数字证书的作用 （1）提供了电子验证身份的方法，提供了更完全 的解决方案来验证有关交易过程中各参与方的真实 身份。 （2）提供了被称作“不可否认”的功能，从根本 上防止有人否认他发送过的信息。 5.证书授权中心（CA机构） 作为电子商务交易中受信任的第三方，承担着公钥 体系中公钥的合法性检验的责任。 7.3数字证书 6.认证中心的作用 （1）为保证客户之间在网上传递信息的安全性、 真实性、可靠性和不可抵赖性，不仅需要对客户 的身份进行验证，也需要一个具有权威性、公正 性、唯一性的机构，负责向电子商务的各个主体 颁发并管理符合国内、国际安全电子交易协议标 准的安全证书。 （2）认证中心是保证电子商务的基础机构，它负 责电子证书的申请、签发、制作、废止、认证和管 理，提供网上客户身份认证、数字签名、电子公证、 安全电子邮件等服务性作业。 7.3数字证书 7.认证系统的结构 （1）CA：证书认证颁发部门 （2）RA：证书发放审核部门 （3）WP：证书的公布系统 8.CRL和OCSP （1）CRL：证书作废，也称证书黑名单 （2） OCSP：在线证书状态查询 9.申请证书 登录认证中心申请证书 7.3数字证书 10.国内外其他认证中心机构 ⑴Verisign认证中心 ⑵中国电信CA安全认证系统 ⑶中国金融认证中心 ⑷上海市电子商务安全证书管理中心 ⑸其他认证中心 11.数字证书的储存 一般储存在硬盘、USB Key、IC卡等介质中。 7.3数字证书 12.算法的分类 （1）对称加密（单密钥加密） 是指加密和解密使用相同的密钥，所以发送者和 接收者都必须知道密钥，主要采用DES算法。 ①优点：加密、解密速度快，算法容易实现；密 钥量短，容易被穷尽。 ②缺点：由于加密、解密双方都使用相同密钥， 因此在发送、接收之前，必须完成密钥的分发， 而且，密钥要经常产生、分配、交换，风险大， 有困难；无法实现数字签名或身份验证。 7.3数字证书 12.算法的分类 （2）非对称加密（公钥加密） 是指加密和解密使用不同的密钥，主要采用RSA 算法。 在非对称加密系统中，每个用户保存着一对密钥 ─公钥和私钥，公钥是公开的，可以公开传给需 要的人；私钥只有本人知道，是保密的。用公钥 加密的信息只能用相关的私钥才能解密，并且在 算法上保证从公钥无法推出私钥。这一加密体系 解决了对称加密方法下密钥传输安全性问题。 7.3数字证书 12.算法的分类 （2）非对称加密（公钥加密） ①优点：网络中容易实现密钥管理；便于进行数 字签名，从而保证数据的不可抵赖性。 ②缺点：算法复杂，加密、解密速度慢；对大报 文加密困难，即无法对大于密钥长度的报文进行 加密。 7.3数字证书 12.算法的分类 （3）对称加密体系（DES）与非对称加密体系（RSA） 结合的综合保密系统 ①先使用随机产生的对称密钥对报文进行加密； ②然后再使用接收方的公钥密钥对加密报文所使用对称 密钥进行加密，经过加密后的密钥又叫数字信封； ③最后将已加密的对称密钥连同密文发给接收方，接收 方收到经过加密的密钥和密文后，先使用其私钥对已加 密的密钥进行解密，然后使用解密后所得的密钥对密文 进行解密得明文。 7.3数字证书 13.数字签名（电子签名） ⑴将报文按双方约定的HASH算法计算得到一个固定位数 的报文摘要。 ⑵将该报文摘要值用发送者的私人密钥加密，然后连同 原报文一起发给接收者，产生的报文即称为数字签名。 ⑶接收方收到数字签名后，用同样的HASH算法对报文计 算摘要值，然后与用发送者的公开密钥进行解密解开的 报文摘要值相比较，如相同则说明确实来自发送者。 ※采用数字签名能确认两点： ⑴保证信息是由签名者自己签名发送的，签名不能否认 或难以否认。 ⑵保证信息自签发开始到收到为止未曾作过任何修改。